到 2024 年上半年，每天都有数百万封几乎无法检测到的冒充蓝筹股公司的电子邮件在传播，这要归功于 Microsoft 365 和 Proofpoint 的电子邮件保护服务的一些宽松功能。

Proofpoint 的安全电子邮件网关 （SEG） 是一种用于企业电子邮件的防火墙，过滤进来的内容并对出去的内容应用身份验证。然而，最近，Guardio的研究人员发现了一个破坏该出站部分的活动，利用“超级宽容的配置错误漏洞”发送信用卡诈骗电子邮件，这些电子邮件经过签名和验证，就好像它们来自合法的品牌公司账户一样。

“它把接收者置于一个奇怪的地方，”Garrison Technology 的现场首席技术官 Adam Maruyama 说。“即使你已经做了全面的（网络安全）尽职调查来保护自己，你也可能会收到一封欺骗性的电子邮件并受到影响。

此后，Proofpoint实施了一项修复程序，该修复程序几乎扼杀了该活动，但围绕电子邮件安全的一些更广泛的问题仍然存在。

“EchoSpoofing”的工作原理

“自电子邮件首次启动以来，其底层基础设施并没有发生太大变化，”Check Point Software 首席技术官办公室 Jeremy Fuchs 说。例如，“电子邮件中的发件人地址有点像蜗牛邮件中的发件人地址。我可以给你写一封信，说它来自北极，真的没有人能做任何事情来阻止它。在数字世界中，这并不那么简单，但仍然相当容易。

在Guardio称之为“EchoSpoofing”的活动中，攻击者通过在虚拟服务器上设置自己的简单邮件传输协议（SMTP）服务器来利用这一事实。从那里，他们可以发送带有他们希望的任何“发件人”标题的电子邮件——例如，来自 @disney.com 或 @northpole.cool 域的虚假客户服务帐户。

当然，任何采用反欺骗技术的现代安全解决方案，如基于域的消息认证、报告和一致性（DMARC）监控或垃圾邮件过滤器，都会捕获来自随机服务器的可疑电子邮件。但这就是 EchoSpoofing 漏洞发挥作用的地方。

事实证明，Proofpoint 的 SEG 包含一个开关，当打开该开关时，它信任通过 Microsoft Office 365 路由的任何电子邮件。Microsoft 365 是企业中常用的邮件服务，但任何人（包括黑客）也可以使用它。因此，如果黑客可以通过 Microsoft 向 Proofpoint 客户发送邮件，那么默认情况下它将受到信任并传递。

这就是邮件交换 （MX） 记录派上用场的地方。域名系统 （DNS） 中的 MX 记录指定负责处理域电子邮件的邮件服务器。使用 Proofpoint SEG 的公司将其 MX 记录发送到 Proofpoint 的服务器。这些记录是公开的，因此，Fuchs观察到，“他们不只是在猜测要针对谁。他们确切地知道他们可以针对谁。

总而言之：攻击者从私人SMTP服务器伪造了模仿大公司（包括迪士尼、百思买、ESPN、IBM、可口可乐、耐克、福克斯新闻等数十家）的电子邮件，然后通过Microsoft 365将它们转发给已知的Proofpoint客户。如果客户打开了“超级宽容”设置，Proofpoint 将使用与合法电子邮件相同的域键识别邮件 （DKIM） 验证来标记恶意电子邮件，然后将它们发送到受害者收件箱。

每天数以百万计的虚假电子邮件

EchoSpoofing 活动始于 1 月，并于 3 月下旬由 Proofpoint 本身首次发现。在这一点上，该公司在一篇博客文章中解释说，它采取了一系列措施来通知和保护客户。

但这些努力并没有阻止袭击的浪潮。事实上，伪造的电子邮件数量只增不减——平均每周300万封，有时甚至超过1000万。

Dark Reading 向 Proofpoint 寻求更多信息，了解为什么电子邮件攻击在最初的补救工作开始后才有所增加。Proofpoint的代表指出了Dark Reading在其博客中的段落，但没有提供进一步的评论。

也许这场运动之所以能幸存下来，是因为攻击者具有敏锐的作战意识。正如 Guardio 所解释的那样，“一旦找到一个易受攻击的 Proofpoint 账户（通过小规模测试此漏洞），它就会保存域以供以后使用，从而在交付机会之间产生时间间隔。它每次都会切换被滥用的域和 Office365 帐户，从而更难发现活动，并尽可能地保持“低调”。

这种勤奋可能是该活动持久力的关键，即使在被发现之后也是如此。“非常有趣的是，一旦该活动被发现并且 Proofpoint 客户开始修补和阻止此漏洞，威胁行为者如何意识到下降并开始烧毁资产——意识到’末日即将来临’——正如上图中 2024 年 6 月初的 disney.com 域使用情况所见。”

EchoSpoofing 最近似乎终于平息了，在 Proofpoint 为传出电子邮件引入了特定于供应商的标题之后。现在，客户可以将允许代表他们发送电子邮件的 365 个帐户限制为仅允许他们自己的帐户。

勤勉地处理企业电子邮件

除了宽容之外，疏忽也为 EchoSpoofers 铺平了道路。

根据 Guardio 的说法，尽管 Proofpoint 努力向 Microsoft 发出警报，但攻击者恶意挥舞的 Office365 帐户在几个月后仍然活跃。在给Dark Reading的一份声明中，Microsoft发言人声称：“当我们的合作伙伴提醒我们这个问题时，我们立即采取行动进行调查。我们阻止了滥用我们服务的租户，并禁用了被视为欺诈的帐户。

然后是一些公司成为被欺骗的受害者。正如 Guardio Labs 负责人 Nati Tal 所指出的那样，他们并非无能为力，无法检测到数百万封冒充其品牌的虚假电子邮件。“在这种情况下，如果来自迪斯尼或任何地方的人正在查看从他们的ProofPoint [服务器]发送的电子邮件数量，它可能会在第一时间立即弹出。你会看到某种异常。

他说，这应该是一个教训，“你需要实施某种日志记录，对你的电子邮件分发进行某种数据跟踪。

不实施像DMARC监控这样的安全电子邮件控制的组织，面临的网络后果比EchoSpoofing迄今为止所展示的要大得多。正如 Maruyama 所反映的那样，“我认为我担心的是，这些都是非常通用的垃圾邮件攻击。点击这里“，然后他们试图窃取您的信用卡号。我可以看到一个世界，在这个世界里，一个更老练的参与者会保存一个类似的漏洞，进行非常有针对性的鱼叉式网络钓鱼，例如，通过看起来像来自政府和国防服务的电子邮件，针对五角大楼、国土安全部等的个人。这是一个更大的威胁，对那些在这里信用卡被盗的人来说，这是个应有的尊重。